SEC 2: Wie verwalten Sie Identitäten für Personen und Maschinen?

Es gibt zwei Arten von Identitäten, die Sie beim Betrieb sicherer AWS-Workloads verwalten müssen. Wenn Sie wissen, welche Art von Identität Sie verwalten und wie Sie Zugriff gewähren müssen, können Sie sicherstellen, dass die richtigen Identitäten unter den richtigen Bedingungen Zugriff auf die richtigen Ressourcen haben. Menschliche Identitäten: Ihre Administratoren, Entwickler, Bediener und Endbenutzer benötigen eine Identität für den Zugriff auf Ihre AWS-Umgebungen und -Anwendungen. Dies sind Mitglieder Ihrer Organisation oder externe Benutzer, mit denen Sie zusammenarbeiten, und die mit Ihren AWS-Ressourcen über einen Webbrowser, eine Client-Anwendung oder interaktive Befehlszeilen-Tools interagieren. Maschinenidentitäten: Ihre Service-Anwendungen, betrieblichen Tools und Workloads benötigen eine Identität, um Anforderungen an AWS-Services zu stellen, z. B. um Daten zu lesen. Zu diesen Identitäten gehören Maschinen, die in Ihrer AWS-Umgebung ausgeführt werden, z. B. Amazon EC2-Instances oder AWS Lambda-Funktionen. Sie können auch Maschinenidentitäten für externe Parteien verwalten, die Zugriff benötigen. Darüber hinaus verfügen Sie möglicherweise auch über Maschinen außerhalb von AWS, die Zugriff auf Ihre AWS-Umgebung benötigen.

Ressourcen

Mastering identity at every layer of the cake
Managing user permissions at scale with AWS SSO
Best Practices for Managing, Retrieving, and Rotating Secrets at Scale
IAM Best Practices
The AWS Account Root User
Getting Started with AWS Secrets Manager
Temporary Security Credentials
Identity Providers and Federation
Security Partner Solutions: Access and Access Control

Bewährte Methoden:

Verbesserungsplan

Starke Anmeldemechanismen verwenden

  • Erstellen einer IAM-Richtlinie zur Erzwingung der MFA-Anmeldung: Erstellen Sie eine vom Kunden verwaltete IAM-Richtlinie, die alle IAM-Aktionen untersagt, außer jener, mit denen die Benutzer auf der Seite "My Security Credentials" Rollen übernehmen, ihre Anmeldeinformationen ändern und ihre MFA-Geräte verwalten können.
    https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1
  • Aktivieren von MFA im Identitätsanbieter: Aktivieren Sie MFA im verwendeten Identitätsanbieter oder Single Sign-On-Service, wie z. B. AWS Single Sign-On (SSO).
    https://aws.amazon.com/iam/details/mfa/
  • Konfigurieren einer Richtlinie für sichere Passwörter: Konfigurieren Sie eine Richtlinie für sichere Passwörter in IAM- und Identitätsverbundsystemen, um sich vor Brute-Force-Angriffen zu schützen.
    http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html
  • Regelmäßiges Ändern von Anmeldeinformationen: Sorgen Sie dafür, dass Administratoren Ihrer Workload die eigenen Passwörter und (ggf.) Zugriffsschlüssel regelmäßig ändern.
    Rotate credentials regularly
  • Verwenden von temporären Anmeldeinformationen

  • Implementieren von Richtlinien für geringste Zugriffsrechte: Weisen Sie IAM-Gruppen und -Rollen Zugriffsrechte zu, die in ihrem Umfang möglichst gering und an den Tätigkeitsbereich der Benutzer angepasst sind.
    Grant least privilege
  • Entfernen von nicht benötigten Berechtigungen: Implementieren Sie das Prinzip der geringsten Zugriffsrechte, indem Sie unnötige Berechtigungen zurücknehmen.
    Reducing policy scope by viewing user activity
    View role access
  • Berücksichtigen von Berechtigungsgrenzen: Eine Berechtigungsgrenze ist eine erweiterte Funktion für eine verwaltete Richtlinie. Sie legt die maximalen Berechtigungen fest, die mit einer identitätsbasierten Richtlinie einer IAM-Entität erteilt werden kann. Eine Berechtigungsgrenze erlaubt einer Entität nur die Ausführung jener Aktionen, die sowohl nach ihren identitätsbasierten Richtlinien als auch nach ihren Berechtigungsgrenzen zulässig sind.
    Lab: IAM permissions boundaries delegating role creation
  • Erwägen von Ressourcen-Tags für Berechtigungen: Mit Tags können Sie den Zugriff auf die AWS-Ressourcen steuern, die das Tagging unterstützen. Sie können auch IAM-Benutzer und -Rollen taggen, um festzulegen, worauf sie zugreifen können.
    Lab: IAM tag based access control for EC2
    Attribute-based access control (ABAC)
  • Sicheres Speichern und Verwenden von geheimen Schlüsseln

  • Verwenden von AWS Secrets Manager: AWS Secrets Manager ist ein AWS-Service für die einfache Verwaltung von geheimen Schlüsseln. Geheime Schlüssel können Datenbank-Anmeldeinformationen, Passwörter, API-Schlüssel von Dritten und sogar beliebiger Text sein.
    AWS Secrets Manager
  • Verlassen Sie sich auf einen zentralen Identitätsanbieter

  • Zentralisieren des administrativen Zugriffs: Erstellen Sie im IAM-Identitätsanbieter eine Entität, um eine Vertrauensstellung zwischen Ihrem AWS-Konto und dem Identitätsanbieter (IdP) herzustellen. IAM unterstützt Identitätsanbieter, die mit OpenID Connect (OIDC) oder SAML 2.0 (Security Assertion Markup Language 2.0) kompatibel sind.
    Identity Providers and Federation
  • Zentralisieren des Anwendungszugriffs: Ziehen Sie für die Zentralisierung des Anwendungszugriffs Amazon Cognito in Erwägung. Damit können Sie Ihren Webanwendungen und mobilen Apps auf schnelle und einfache Weise die Benutzerregistrierung und -anmeldung sowie die Zugriffskontrolle hinzufügen. Amazon Cognito lässt sich auf Millionen von Benutzern hochskalieren. Es unterstützt die Anmeldung mit Social-Identity-Anbietern wie Facebook, Google und Amazon sowie mit Unternehmens-Identitätsanbietern über SAML 2.0.
    Amazon Cognito
  • Entfernen alter IAM-Benutzer und -Gruppen: Sobald Sie einen Identitätsanbieter (IdP) verwenden, sollten Sie nicht mehr benötigte IAM-Benutzer und -Gruppen entfernen.
    Finding unused credentials
    Deleting an IAM group
  • Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen

  • Regelmäßige Prüfung der Anmeldeinformationen: Verwenden Sie Berichte zu Anmeldeinformationen und IAM Access Analyzer, um IAM-Anmeldeinformationen und -Berechtigungen zu überprüfen.
    IAM Access Analyzer
    Getting credential report
    Lab: Automated IAM user cleanup
  • Überprüfen von IAM-Berechtigungen mithilfe von Zugriffsebenen: Um die Sicherheit Ihres AWS-Kontos zu erhöhen, sollten Sie Ihre IAM-Richtlinien regelmäßig überprüfen und überwachen. Sorgen Sie dafür, dass mit den Richtlinien Zugriffsrechte nur in dem Umfang erteilt werden, wie sie für die jeweiligen Aktionen erforderlich sind.
    Use access levels to review IAM permissions
  • Erwägen der Automatisierung der Erstellung und Aktualisierung von IAM-Ressourcen: Mit AWS CloudFormation kann die Bereitstellung von IAM-Ressourcen einschließlich Rollen und Richtlinien automatisiert werden. So lässt sich die Zahl menschlicher Fehler verringern, da die Vorlagen verifiziert und ihre Versionen kontrolliert werden können.
    Lab: Automated deployment of IAM groups and roles
  • Nutzen von Benutzergruppen und Attributen

  • Wenn Sie AWS Single Sign-On (SSO) verwenden, konfigurieren Sie Gruppen: AWS SSO bietet Ihnen die Möglichkeit, Benutzergruppen zu konfigurieren und Gruppen die gewünschte Berechtigungsstufe zuzuweisen.
    AWS Single Sign-On - Manage Identities
  • Attribut-basierte Zugriffskontrolle (ABAC): Attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, die Berechtigungen basierend auf Attributen definiert.
    What Is ABAC for AWS?
    Lab: IAM Tag Based Access Control for EC2